"Daten sind das Öl der digitalen Wirtschaft" ist ein Ausdruck, der bereits zu einem Aphorismus geworden ist. In der heutigen Welt sind Benutzerdaten zu einer der wertvollsten und gefragtesten Ressourcen geworden. Laut PwC werden die weltweiten Einnahmen aus der Nutzung von Benutzerdaten im Jahr 2018 300 Milliarden US-Dollar erreichen. Nach
Angaben des RBC-Magazins belief sich der Umsatz des Marktes für den Verkauf und Kauf personenbezogener Daten in Russland im Jahr 2017 auf mindestens 3,3 Milliarden Rubel. Darüber hinaus prognostizieren Experten ein weiteres intensives Wachstum dieses Marktes.
Die Verwendung personenbezogener Daten in Unternehmen unterliegt jedoch noch keinen ordnungsgemäßen gesetzlichen Bestimmungen. Die derzeitige Gesetzgebung lässt die Frage nach dem Datenumsatz und der Möglichkeit seiner Monetarisierung offen. In der Rechtspraxis wurden noch keine universellen Kriterien festgelegt, die es ermöglichen, ein Gleichgewicht zwischen der Notwendigkeit, die Privatsphäre der Benutzer zu schützen, und den Bedürfnissen der Geschäftswelt in einer digitalen Wirtschaft zu finden.
Daten: Persönlich, groß oder groß benutzerdefiniert?Der Eckpfeiler für das Verständnis des Begriffs "Benutzerdaten" ist das normativ festgelegte Konzept der "persönlichen Daten" (im Folgenden - PD). Das Konzept der PD ist von Natur aus „Gummi“, wodurch wir nicht eindeutig bestimmen können, welche spezifischen Daten sich auf personenbezogene Daten beziehen. Gleichzeitig ist der allgemeine Trend jetzt ein äußerst breiter Ansatz für das Konzept der PD - alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dies kann eine IP-Adresse, eine ID, eine Mobiltelefonnummer oder eine Kreditkartennummer sein.
Gleichzeitig ist es für niemanden ein Geheimnis, dass solche Informationen im World Wide Web aktiv verarbeitet werden und zur Grundlage für den Erfolg vieler Geschäftsprojekte (Werbung, Marketing, Scoring) werden. Und es gibt keine eindeutigen Kriterien, die es erlauben, eine Grenze zwischen PD und Big Data zu ziehen.
Das Konzept von "Big Data" (Big Data) ist wiederum noch umstrittener und wird normalerweise durch seine Eigenschaften offenbart:
- großes Volumen (Volumen);
- große Vielfalt (Sorte);
- hohe Akkumulations- und Verarbeitungsgeschwindigkeit (Geschwindigkeit);
- Genauigkeit (Wahrhaftigkeit);
- Variabilität (Variabilität);
- Wert
- Visualisierung
- Vitalität (Lebensfähigkeit).
Der berühmte Anwalt und Professor A. I. Savelyev
schreibt : „Big Data kann als sich dynamisch ändernde Informationsreihe definiert werden, die aufgrund ihres großen Volumens und der Möglichkeit einer effizienten und schnellen Verarbeitung durch automatisierte Mittel wertvoll ist, was wiederum die Möglichkeit dazu bietet Verwendung für die Analyse, Prognose und Automatisierung von Geschäftsprozessen. "
Sarkis Darbinyan, geschäftsführender Gesellschafter des Zentrums für digitale Rechte, erklärt auf dem
BIG DATA 2018- Forum ihre Natur: „Big Data ist ein umfangreicher Informationsstrom heterogener Daten, der ständig von Benutzern elektronischer Geräte und Onlinedienste oder technischer Geräte generiert und auch im Modus verarbeitet wird Echtzeit. "
In Russland gibt es bisher kein einheitliches Verständnis und keinen einheitlichen Ansatz für die Regulierung von Big Data. Darüber hinaus wird weiter darüber diskutiert, wem Big Data gehören sollte und wie mit diesen Daten die Rechte an verschiedenen gesetzlich geschützten Datenkategorien (PD, Geschäftsgeheimnis, vertrauliche Informationen, Urheberrecht an der Datenbank) nicht verletzt werden können.
Der "Schnittpunkt" von PDs und Big Data wird manchmal als Big User Data bezeichnet. Dieser Begriff ist nicht rechtlich festgelegt. Der Leiter von Roskomnadzor Alexander Zharov
definierte Big User-Daten jedoch als „alle von Informationssystemen und -geräten gesammelten Benutzerdaten, Benutzerprofile in Internetressourcen, Geolokalisierungsdaten, Daten zum Benutzerverhalten auf Websites“.
Rechtsstreitigkeiten bei Geschäftsprojekten über personenbezogene DatenUnternehmensprojekte, die Big-User-Daten verwenden, stehen unweigerlich vor dem Problem der Einhaltung der Rechtsvorschriften zum Schutz personenbezogener Daten. Die folgenden Gerichtsverfahren sind also anschauliche Beispiele:
Roskomnadzor vs. NBCH ,
Roskomnadzor vs. MGTS ,
"HeadHunter" vs. Roboter Vera ,
HeadHunter vs. FriendWork und
VKontakte vs. "Doppelte Daten" .
Ein einziger Ansatz für die Verwendung von Big-User-Daten, einschließlich der von Benutzern in sozialen Netzwerken veröffentlichten, wurde noch nicht entwickelt, und die Positionen verschiedener Gerichte sind immer noch chaotisch. Darüber hinaus halten sich die Parteien nicht immer an die Rechtsvorschriften zum Schutz personenbezogener Daten, sondern verweisen auf die geistigen Rechte an der Datenbank. Beispielsweise wurden die Regeln zum Schutz der geistigen Rechte an der Datenbank in Fällen in den Ansprüchen des Unternehmens HeadHunter sowie im Resonanzfall von VKontakte gegen Double Data verwendet.
Das Unternehmen Double Data sammelte und verwendete für kommerzielle Zwecke Benutzerdaten, die in einem sozialen Netzwerk veröffentlicht wurden (Nachnamen, Vornamen, Arbeitsorte und Studien). Das Unternehmen hat keine zusätzlichen Berechtigungen erhalten. Vkontakte vertritt die Auffassung, dass solche Aktionen das ausschließliche Nachbarrecht an der Datenbank verletzen, das in Vkontakte als Hersteller einer solchen Datenbank mit Benutzerdaten entstanden ist. Double Data hingegen besteht auf der Offenheit der Daten, der Unfähigkeit, die Wiederverwendung von Informationen zu verbieten, und dem Fehlen der Rechte von Vkontakte an der von den Benutzern selbst erstellten Datenbank. Bis heute (Oktober 2018) ist der Fall bei SIP (Kassationsinstanz) angekommen. SIP stimmte der Schlussfolgerung des Berufungsgerichts zu, dass "die Fallunterlagen sowohl das Vorhandensein eines Objekts mit verwandten Rechten (eine Datenbank von Nutzern eines sozialen Netzwerks) als auch das Bestehen des ausschließlichen Rechts der Vkontakte-Gesellschaft an diesem Objekt belegen". Das Argument der Angeklagten über die Datenbank als „Nebenprodukt“ der Vkontakte-Aktivität wurde vom Gericht nicht als vernünftig anerkannt. Das SIP hat den Fall jedoch für ein neues Verfahren an das erstinstanzliche Gericht weitergeleitet (Datum des Treffens ist der 19. Dezember 2018), weshalb der Kampf zwischen VKontakte und Double Data noch andauert. Es scheint, dass nach der endgültigen Lösung dieses Falls ein praktischer Meilenstein für die Entwicklung des Geschäfts mit Benutzerdaten in Russland erreicht wird.
Darüber hinaus ist der Fall Roskomnadzor vs. wichtig für das zukünftige Schicksal von Geschäftsprojekten in Bezug auf Benutzerdaten. MGTS, bei dem das Gericht versuchte, ein Gleichgewicht zwischen dem Recht der Nutzer und den Interessen der Unternehmen zu finden. Das Gericht brachte MGTS in die administrative Verantwortung, nachdem es festgestellt hatte, dass Transaktionen zum „Weiterverkauf“ von Daten über Abonnenten ohne deren Zustimmung das Recht auf Privatsphäre verletzen.
Interessant ist auch der Fall von Roskomnadzor vs. NBCH, das zwar mit einer Einigung endete, in dessen Rahmen die RF-Streitkräfte jedoch zu dem Schluss kamen, dass die Daten, nachdem sie von Nutzern in einem sozialen Netzwerk veröffentlicht wurden, nicht im Sinne von Art. 4 öffentlich zugänglich werden. 8 Bundesgesetz "Über personenbezogene Daten".
Wie wird ein Unternehmen, das auf personenbezogenen Daten basiert, in der Praxis umgesetzt?Aufgrund des Fehlens klarer und eindeutiger rechtlicher Ansätze („Spielregeln“) für die Nutzung von Big Data gibt es seit vielen Jahren „graue“ Dienste für den Verkauf personenbezogener Daten. Zum Beispiel das Dark Web, das eine Vielzahl von Arten personenbezogener Daten verkauft: von Passdaten über medizinische Informationen bis hin zu Passwörtern von Kreditkarten. Nach den Ergebnissen der
Studie „Black Database Market“ des MFI Soft-Analysezentrums für 2016 beträgt der Markt für illegale Datenbanken in Russland mehr als 30 Millionen Rubel. Und diese Zahl wächst nur.
Dennoch sollte man nicht davon ausgehen, dass ein auf personenbezogenen Daten basierendes Geschäft a priori illegal ist. Rechtliche Projekte zur Monetarisierung der persönlichen Daten der Benutzer entwickeln sich rasant: Opiria, Handshake, Datacoup, GoodData, Pillar Project, Personal und andere Dienste.
Darüber hinaus sind Beispiele für Offline-Projekte bekannt, bei denen personenbezogene Daten als Zahlungsmittel verwendet werden. Im amerikanischen Café Shiru können Sie beispielsweise die Rechnung mit Ihren persönlichen Daten (Namen, Telefonnummern, E-Mail-Adressen, Geburtsdaten und Informationen zu Interessen) bezahlen.
Viele Unternehmen sind jedoch weniger daran interessiert, die PD eines bestimmten Themas zu erhalten, als vielmehr daran, eine Reihe von Daten zu erhalten, die bestimmte Anzeichen einer Reihe von Themen widerspiegeln. Daher ist der Wert aus anderen Unternehmensdatenbanken PD, Big User Data erhalten.
Oft enthalten Unternehmen Datenübertragungsklauseln in Serviceverträgen oder ähnlichem. Darüber hinaus werden PD-Austauschprojekte als interessant angesehen, die durch Vereinbarungen zwischen Unternehmen über die Interaktion von Informationen im Bereich der Übertragung personenbezogener Daten oder anderer ähnlicher Inhalte umgesetzt werden. Beispielsweise sind solche Vereinbarungen im medizinischen Bereich üblich.
Wenn man auch Projekte beschreibt, die mit Big User Data arbeiten, kann man nur das Double Data-Projekt und ähnliche Projekte erwähnen (Clever Data, Scorista, Scorto, FICO, Equifax Credit Bureau, National Credit Bureau). Diese Projekte verwenden zum größten Teil Daten für den späteren Wiederverkauf sowie für die Bewertung und Personalisierung von Anzeigen. Sie positionieren sich als mit offenen Daten arbeitend und behaupten gegenüber NBCH und Double Data vor Gericht, dass sie das Recht haben, Big User-Daten ohne zusätzliche Erlaubnis von Benutzern und Unternehmen, die PDs anfänglich verarbeiten, zu verarbeiten.
Unabhängig davon ist das berüchtigte Unternehmen Cambridge Analytica zu erwähnen, das PD-Benutzer sammelte, um die politischen Präferenzen von Wählern ohne deren Zustimmung zu analysieren, einschließlich PD-Benutzern des sozialen Facebook-Netzwerks. Infolge solcher Aktionen brach nicht nur ein politischer Skandal aus, sondern es gab unvermeidlich rechtliche Konsequenzen für Cambridge Analytica und Facebook. Cambridge Analytica, Facebook, erklärte Insolvenz, und Facebook wurde mit einer Geldstrafe von 500.000 GBP (ca. 600.000 USD) belegt, weil die Rechte der betroffenen Personen nicht beachtet wurden: mangelnder angemessener Schutz der personenbezogenen Daten der Nutzer und unzureichende Transparenz ihrer Verarbeitung.
Im Allgemeinen hat der Skandal zwischen Cambridge Analytica und Facebook weitreichende Konsequenzen, auch für Russland. Daher begann Facebook, den Zugang zu „verdächtigen“ Diensten zu blockieren, deren Aktivitäten das Risiko eines Verstoßes gegen die PD-Gesetzgebung berücksichtigen. So hat Facebook kürzlich (Anfang Oktober 2018) mehr als 66 Konten, Profile, Seiten und Anwendungen des russischen Startups Social Data Hub blockiert, das sich früher mit Cambridge Analytica verglichen hat und sich jetzt als „Spezialist für die Entwicklung künstlicher Intelligenzsysteme“ positioniert. .
Medienberichten zufolge befasst sich das Projekt jedoch auch mit der kommerziellen Analyse von Benutzerdaten für den Staat.
Interessanterweise finden Sie auf
der Social Data Hub-
Website die Antwort von Roskomnadzor zur Rechtmäßigkeit des Betriebs eines solchen Dienstes. Dies hinderte Facebook jedoch nicht daran, den Verstoß gegen die Facebook-Nutzervereinbarung und Anzeichen einer illegalen Verwendung von PD in der Aktivität des Social Data Hub zu erkennen. Facebook hat die Konten des Startups und seiner Mitarbeiter gelöscht und einen Brief mit den Anforderungen gesendet:
- Stoppen Sie sofort die Verarbeitung der Daten von Facebook-Nutzern und zerstören Sie diese Daten.
- Stellen Sie Facebook eine vollständige Liste aller Daten zur Verfügung, die vom Unternehmen und den Organisationen, die Zugriff darauf haben, verwendet werden
- Bieten Sie Facebook-Vertretern Zugriff auf Data Warehouses, um zu überprüfen, ob sie wirklich gelöscht wurden.
Der Vertreter von Vkontakte stellte außerdem fest, dass das Unternehmen ein Antragsschreiben an den Social Data Hub gesendet habe. Im Gegenzug bestreiten Projektmanager jeden Verstoß gegen die PD-Gesetzgebung und
behaupten, dass sie „Software entwickeln, keine Daten verkaufen“.
Rechtsgrundlage für die Geschäftstätigkeit mit personenbezogenen DatenAus rechtlicher Sicht werden Geschäftsprojekte, die auf Benutzerdaten basieren, mit verschiedenen rechtlichen Instrumenten umgesetzt. In vielerlei Hinsicht erklärt sich dieser Sachverhalt durch das Fehlen einer regulatorischen Regulierung der Monetarisierungsprozesse von Benutzerdaten. Das Gesetz schreibt nur verbindliche Anforderungen und Bedingungen vor, unter denen PD gesammelt und verarbeitet werden kann.
Die häufigste Grundlage für die Verarbeitung von PD ist das Vorhandensein der Zustimmung des Subjekts. Das Einholen einer solchen Zustimmung, ihr „Kauf“, ist genau die Grundlage der meisten legalen Geschäftsprojekte, die auf Benutzerdaten basieren. Es ist wichtig zu verstehen, dass die Durchführung eines solchen Kaufs weit vom klassischen zivilrechtlichen Verständnis des Kaufvertrags entfernt ist. Zusätzlich zur direkten Einholung der Zustimmung zu einer bestimmten Eigentumsentschädigung kann PD bei der Ausführung von Vereinbarungen mit Benutzern verarbeitet werden, die mit der Bereitstellung von Waren und Dienstleistungen verbunden sind (in den meisten Fällen den Zugang zu Inhalten im Internet ermöglichen).
Darüber hinaus haben Projekte, einschließlich ICO-Projekte, deren Hauptziel darin besteht, die legale Monetarisierung personenbezogener Daten sicherzustellen, in jüngster Zeit an Popularität gewonnen. Zum Beispiel die
Opiria- Plattform. Mit diesem Projekt können Benutzer der Verarbeitung ihrer persönlichen Daten im Austausch gegen PDATA-Token zustimmen. Laut den Entwicklern ist diese Plattform "ein globaler dezentraler Markt, auf dem Unternehmen personenbezogene Daten ohne Zwischenhändler direkt von Verbrauchern kaufen können". Gleichzeitig garantiert Opiria den Nutzern die Möglichkeit, ihre personenbezogenen Daten gemäß den Anforderungen der Gesetzgebung zu personenbezogenen Daten zu kontrollieren und zu verwalten.
Gleichzeitig verliert die geschäftliche Vermittlung personenbezogener Daten nicht an Relevanz. Viele Unternehmen versuchen, PDs weiterzuverkaufen oder auszutauschen. Solche Projekte werden jedoch nur dann dem Gesetz entsprechen, wenn die entsprechende Genehmigung für die Übertragung von PD an Dritte und deren anschließende Verarbeitung eingeholt wurde.
Der Fall des
DeepMind- Dienstes, der eine Vereinbarung über den Austausch personenbezogener Daten mit dem National Health Service von Großbritannien geschlossen hat, ist bezeichnend. Die Parteien haben jedoch keine Einwilligung zur Übermittlung und Verarbeitung von Patientendaten durch den DeepMind-Dienst erteilt, weshalb ein Verstoß gegen die PD-Gesetzgebung festgestellt wurde. Obwohl dieser Fall auf den Normen des ausländischen Rechts basiert, sind seine Ergebnisse in der russischen Realität anwendbar. Eine ähnliche Position haben wir beispielsweise bei dem zuvor erwähnten Fall beobachtet, dass MGTS Daten über seine Abonnenten verkauft.
Im Allgemeinen ist es in Russland für alle Geschäftsprojekte zu PD äußerst wichtig, die allgemeinen Anforderungen der Gesetzgebung zu PD einzuhalten. Insbesondere ist es notwendig:
- die PD-Verarbeitung auf bestimmte, vorgegebene Ziele zu beschränken;
- Begrenzen Sie die Menge der verarbeiteten Daten auf die für die Umsetzung der erklärten Ziele ihrer Verarbeitung erforderliche Mindestmenge.
- Datenbanken, die PDs enthalten, deren Verarbeitung zu nicht miteinander kompatiblen Zwecken durchgeführt wird, nicht zu kombinieren;
- PD bei Erreichen von Verarbeitungszielen oder bei Verlust der Notwendigkeit, diese Ziele zu erreichen, zu zerstören oder zu entpersönlichen (sofern dies nicht ausdrücklich gesetzlich vorgesehen ist);
- Festlegung der Rechtsgrundlage für die Verarbeitung personenbezogener Daten (in den meisten Fällen ist dies die Zustimmung des Betroffenen personenbezogener Daten, andernfalls kann jedoch auch ein Vertrag, eine gesetzliche Norm oder die allgemeine Verfügbarkeit personenbezogener Daten vorliegen );
- die Anforderungen für das Einverständnisformular für die Verarbeitung von PD erfüllen;
- die Verarbeitung einstellen oder die Beendigung der Verarbeitung personenbezogener Daten durch eine andere Person sicherstellen, falls die Zustimmung zur Verarbeitung personenbezogener Daten widerrufen wird.
Bei Projekten im Bereich Big User Data gibt es noch kontroversere rechtliche Fragen.
- Erstens gibt es keinen einheitlichen Ansatz zum Verständnis von Big Data.
- Zweitens regelt die Gesetzgebung die Verarbeitung von Big Data nur teilweise.
- Drittens wurde keine eindeutige Position zum Thema der Verwendung von gemeinfreien und anonymisierten PDs entwickelt.
- Viertens ist es schwierig, den tatsächlichen Wert von Big User-Daten zu bestimmen.
- Fünftens kann die Aggregation von Big User-Daten durch ein Unternehmen die geistigen Rechte dieses Unternehmens an der Datenbank erzeugen. Dadurch entsteht ein Rechtskonflikt. Und Handelsbeziehungen in diesem Bereich werden wie eine Lotterie unvorhersehbar.
Es ist möglich, dass sich die Situation auf dem russischen Markt nach der endgültigen Beilegung des Vkontakte-Streits gegen Double Data und / oder der Annahme einer der derzeit diskutierten Initiativen ändern wird (z. B. der
Gesetzentwurf zur Regulierung von Big Data, der
Gesetzentwurf zur Nutzung und Weitergabe anonymisierter personenbezogener Daten an andere, die
Initiative Schaffung einer speziellen Plattform für die Verwaltung der Zustimmung zur PD-Verarbeitung).
Es gibt auch eine
Gesetzesvorlage in der Staatsduma, die darauf abzielt, die Regeln für ein neues Thema der Bürgerrechte wie die digitalen Rechte festzulegen. In dem Gesetzentwurf wird vorgeschlagen, die Verwendung von Big Data in Vertragsbeziehungen zu regeln, nämlich im Zivilgesetzbuch der Russischen Föderation die Gestaltung einer Vereinbarung über die Erbringung von Dienstleistungen zur Bereitstellung von Informationen festzulegen (Artikel 783.1). Diese Vereinbarung kann vorsehen, dass Informationen für einen bestimmten Zeitraum nicht an Dritte weitergegeben werden. Darüber hinaus wird in der Gesetzesvorlage vorgeschlagen, das Konzept der „Datenbank“ zu erweitern, um die auf Big Data basierenden Datenbanken zu schützen.
, , -, . , , . , — , . , , , :
